사용자는 신뢰할 수 없습니다. 대부분 게으르고 안전보다 편안함을 선택합니다. 통계에 따르면 21%는 업무용 계정의 비밀번호를 종이에 기록하고 50%는 업무용 및 개인용 서비스용 비밀번호를 동일하게 사용합니다.

환경도 적대적이다. 조직의 74%는 개인 장치를 업무에 가져와 회사 네트워크에 연결하도록 허용합니다. 사용자의 94%는 실제 이메일과 피싱 이메일을 구별할 수 없으며 11%는 첨부 파일을 클릭했습니다.

이러한 모든 문제는 메일 암호화 및 인증을 제공하고 암호를 디지털 인증서로 대체하는 기업 공개 키 인프라(PKI)로 해결됩니다. 이 인프라는 Windows Server에서 올릴 수 있습니다. 에 따르면 마이크로소프트의 설명, AD CS(Active Directory 인증서 서비스)는 조직에서 PKI를 만들고 공개 키 암호화, 디지털 인증서 및 디지털 서명을 사용할 수 있게 해주는 서버입니다.

그러나 Microsoft의 솔루션은 상당히 비쌉니다.

Microsoft 사설 CA의 총 소유 비용

Microsoft CA와 GlobalSign AEG 간의 소유 비용 비교. 출처

많은 상황에서 동일한 사설 인증 기관을 만드는 것이 더 편리하고 저렴하지만 외부 관리가 있습니다. 이것이 바로 GlobalSign 자동 등록 게이트웨이(AEG)가 해결하는 문제입니다. 총 소유 비용(장비 구입, 지원 비용, 직원 교육 등)에서 몇 가지 비용이 제외됩니다. 절감액 초과 가능 총소유비용의 50%.

AEG란?

자동 등록 게이트웨이 (AEG)는 SaaS GlobalSign 인증서 서비스와 Windows 엔터프라이즈 환경 간의 게이트웨이 역할을 하는 소프트웨어 서비스입니다.

AEG는 Active Directory와 통합되어 조직이 Windows 환경에서 GlobalSign 디지털 인증서의 등록, 프로비저닝 및 관리를 자동화할 수 있도록 합니다. 내부 CA를 GlobalSign 서비스로 교체함으로써 기업은 보안을 강화하고 복잡하고 값비싼 내부 Microsoft CA 관리 비용을 절감합니다.

GlobalSign SaaS 인증서 서비스는 자체 인프라에 있는 취약하고 관리되지 않는 인증서보다 더 안정적인 옵션입니다. 리소스 집약적인 내부 CA를 관리할 필요가 없기 때문에 PKI의 총 소유 비용과 시스템 오류 위험이 줄어듭니다.

SCEP 및 ACME 프로토콜에 대한 지원은 Linux 서버, 모바일 장치, 네트워크 장치 및 기타 장치뿐만 아니라 Active Directory에 등록된 Apple OSX 컴퓨터에 대한 자동 인증서 발급을 포함하여 Windows를 넘어 지원을 확장합니다.

강화된 보안

비용 절감 외에도 아웃소싱 PKI 관리는 시스템 보안을 향상시킵니다. Aberdeen Group 연구에 따르면 인증서는 신뢰할 수 없는 자체 서명된 인증서, 약한 암호화 및 번거로운 해지 메커니즘과 같은 알려진 취약점을 성공적으로 악용하는 공격자의 표적이 되고 있습니다. 또한 공격자는 신뢰할 수 있는 CA에서 사기로 인증서를 발급하고 코드 서명 인증서를 위조하는 등 보다 정교한 익스플로잇을 마스터했습니다.

"대부분의 기업은 이러한 공격과 관련된 위험을 적극적으로 관리하지 않으며 트레이드 오프에 신속하게 대응할 준비가 되어 있지 않습니다." написал Aberdeen Group의 부사장 겸 IT 보안 펠로우인 Derek E. Brink. "기업이 인증서 관리의 운영 측면을 전문가의 손에 맡기고 Active Directory의 그룹 정책에 대한 기업 통제를 유지함으로써 GlobalSign은 효율적인 비용으로 실용적인 보안 및 신뢰 문제를 해결함으로써 인증서 사용의 미래 성장을 확보하는 것을 목표로 합니다. -효과적인 배포 모델."

AEG 작동 방식

AEG가 있는 일반적인 시스템에는 올바른 인증서가 올바른 액세스 포인트로 전송되도록 하기 위한 네 가지 주요 구성 요소가 포함되어 있습니다.

1. Windows 서버의 AEG 소프트웨어.
2. 관리자가 리소스에 대한 정보를 관리하고 저장할 수 있도록 하는 Active Directory 서버 또는 도메인 컨트롤러.
3. 끝점: 사용자, 장치, 서버 및 워크스테이션 - 디지털 인증서의 "소비자"인 거의 모든 엔터티.
4. 신뢰할 수 있는 인증서 발급 및 관리 플랫폼 위에 있는 GlobalSign 인증 기관(GCC). 여기에서 인증서가 생성됩니다.

표시된 XNUMX개 구성 요소 중 XNUMX개는 클라이언트의 온프레미스이고 네 번째는 클라우드에 있습니다.

먼저 그룹 정책을 사용하여 엔드포인트가 미리 구성됩니다. 예를 들어 사용자 인증을 위한 인증서 유효성 검사, 인증서에 대한 S/MIME 요청 등 - 이후에 AEG 서버에 연결할 수 있습니다. 연결은 HTTPS를 통해 안전합니다.

AEG 서버는 이러한 끝점에 대한 인증서 템플릿 목록에 대해 LDAP를 통해 Active Directory를 쿼리하고 CA 위치와 함께 목록을 클라이언트에 보냅니다. 이러한 규칙을 수신한 후 엔드포인트는 이번에는 실제 인증서를 요청하기 위해 AEG 서버에 다시 연결합니다. 그러면 AEG는 지정된 매개변수로 API 호출을 생성하고 처리를 위해 GlobalSign 인증 기관 또는 GCC로 보냅니다.

마지막으로 GCC 백엔드는 일반적으로 몇 초 이내에 요청을 처리하고 요청 시 엔드포인트에 설치될 인증서와 함께 API 응답을 보냅니다.

전체 프로세스는 몇 초가 걸리며 그룹 정책을 사용하여 인증서를 자동으로 가져오도록 엔드포인트를 구성하여 완전히 자동화할 수 있습니다.

AEG 고유 기능

• MDM 플랫폼을 통해 등록할 수 있습니다.
• Microsoft Crypto 팀의 이전 직원이 개발했습니다.
• 클라이언트 없는 솔루션.
• 간소화된 구현 및 수명 주기 관리.

아키텍처 예시

따라서 GlobalSign AEG 게이트웨이를 통한 외부 PKI 관리는 보안 강화, 비용 절감 및 위험 감소를 의미합니다. 또 다른 이점은 손쉬운 확장성과 향상된 성능입니다. 적절하게 관리되는 PKI는 긴 가동 시간을 보장하고 유효하지 않은 인증서로 인한 중요한 작업의 중단을 제거하며 직원에게 회사 네트워크에 대한 원격 보안 액세스를 제공합니다.

AEG VPN 및 Wi-Fi를 통해 네트워크에 액세스하는 원격 작업 그룹 클라이언트에서 스마트 카드를 통해 매우 민감한 리소스에 대한 권한 있는 액세스에 이르기까지 XNUMX단계 인증이 필요한 다양한 사용 사례를 지원합니다.

GlobalSign은 ID 및 액세스 관리를 위한 클라우드 및 네트워크 PKI 솔루션을 제공하는 글로벌 리더입니다. 더 자세한 제품 정보를 원하시면 연락주세요 우리 매니저들.

출처 : habr.com